ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security

Transcript

1 ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security Management Ottobre 2009

2 Copyright e utilizzo dei contenuti I Report non potranno essere oggetto di diffusione, riproduzione e pubblicazione, anche per via telematica (ad esempio tramite siti web, intranet aziendali, ecc), e ne viene espressamente riconosciuta la piena proprietà del DIG - Dipartimento di Ingengeria Gestionale del Politecnico di Milano. La violazione di tale divieto comporterà il diritto per il DIG di ottenere il risarcimento del danno da illecito utilizzo, ai sensi di legge. Indice pagina Introduzione di Umberto Bertelè e Andrea Rangone 7 Executive Summary di Paolo Maccarrone e Luca Marzegalli 9 1. La rilevanza dell ICT Security 13 La governance strategica dell ICT Security 14 Il punto di vista dei Chief Information Officer L ICT Risk Analysis: approcci e metodologie 25 Un framework di riferimento per la categorizzazione delle attività di ICT Risk Analysis 25 Le principali evidenze del settore Banking 29 Oltre il Banking: i risultati degli altri settori L ICT Security e l Enterprise Risk Management nel Banking: 49 un rapporto in continua trasformazione Il nuovo approccio al Risk Management 49 L integrazione tra ICT Security ed Enterprise Risk Management: i risultati della Ricerca 52 Nota metodologica 59 Il Gruppo di Lavoro 63 La School of Management 65 La School of Management del Politecnico di Milano 65 Gli Osservatori ICT & Management 65 L ICT Institute 67 I sostenitori della Ricerca 69 1

3

4 Indice Figure pagina Figura 1.1 L ICT Security governance 15 Figura 1.2 La presenza e il posizionamento del responsabile dell ICT Security 17 all interno dell organigramma aziendale Figura 1.3 Il dimensionamento dell unità ICT Security 17 Figura 1.4 La stabilità del modello organizzativo inerente l ICT Security 18 Figura 1.5 Gli input per l individuazione delle iniziative di sicurezza ICT 18 Figura 1.6 Le unità organizzative maggiormente coinvolte nell individuazione delle 19 iniziative di ICT Security Figura 1.7 Il ricorso a un processo formale di pianificazione strategica delle iniziative 19 in ambito ICT Security (Master Plan ICT/Information Security) Figura 1.8 Il ricorso ad approcci strutturati di Risk Analysis/Risk Management per la 20 definizione delle iniziative Figura 1.9 La percentuale del budget di ICT Security in relazione al budget 20 complessivo ICT Figura 1.10 I trend del budget di ICT Security 21 Figura 1.11 La diffusione dei sistemi di misurazione delle prestazioni specifici per 21 l ICT Security Figura 1.12 I principali fattori critici di successo nella gestione dei progetti di ICT Security 22 Figura 2.1 Il framework di riferimento I fattori caratterizzanti l orizzonte di analisi 26 Figura 2.2 Il framework di riferimento Le variabili di configurazione dell analisi 28 Figura 2.3 Le tipologie di ICT Risk Analysis nel Banking 30 Figura 2.4 Le tipologie di ICT Risk Analysis nel Banking: il confronto CIO/CISO 30 Figura 2.5 Le finalità prevalenti per le ICT Risk Analysis nel Banking 31 Figura 2.6 Le finalità: il dettaglio della stima delle perdite 31 Figura 2.7 Le finalità prevalenti per le ICT Risk Analysis nel Banking Il confronto 32 CIO/CISO Figura 2.8 L ambito di copertura delle ICT Risk Analysis nel Banking 32 Figura 2.9 I requisiti di sicurezza considerati nelle ICT Risk Analysis nel Banking 33 Figura 2.10 Il quadro sinottico dei fattori caratterizzanti l orizzonte delle ICT Risk 33 Analysis nel Banking Figura 2.11 La tipologia di input su cui sono basate le ICT Risk Analysis nel Banking 34 Figura 2.12 Il flusso logico che caratterizza le ICT Risk Analysis nel Banking 34 Figura 2.13 Il flusso logico che caratterizza le ICT Risk Analysis nel Banking il 34 confronto CIO/CISO Figura 2.14 Gli attori coinvolti nel processo di ICT Risk Analysis nel Banking 35 Figura 2.15 Gli attori coinvolti nel processo di ICT Risk Analysis nel Banking il 35 confronto CIO/CISO Figura 2.16 Le fonti di input utilizzate per le ICT Risk Analysis nel Banking 36 Figura 2.17 Le tipologie di strumenti informatici utilizzati per le ICT Risk Analysis nel 36 Banking Figura 2.18 Il quadro sinottico delle variabili di configurazione delle ICT Risk Analysis 37 nel Banking Figura 2.19 La frequenza di cambiamento della metodologia utilizzata per le ICT Risk 38 Analysis nel Banking Figura 2.20 L utilizzo di semilavorati comuni per diverse metodologie di ICT Risk 38 Analysis nel Banking Figura 2.21 Le tipologie di ICT Risk Analysis 40 3

5 Figura 2.22 Le finalità prevalenti per le ICT Risk Analysis 41 Figura 2.23 L ambito di copertura delle ICT Risk Analysis 41 Figura 2.24 I requisiti di sicurezza considerati nelle ICT Risk Analysis 42 Figura 2.25 Il quadro sinottico dei fattori caratterizzanti l orizzonte dell ICT Risk Analysis 42 Figura 2.26 La tipologia di input su cui sono basate le ICT Risk Analysis 43 Figura 2.27 Il flusso logico che caratterizza le ICT Risk Analysis 44 Figura 2.28 Gli attori coinvolti nel processo di ICT Risk Analysis 44 Figura 2.29 Le fonti di input utilizzate per le ICT Risk Analysis 45 Figura 2.30 Le tipologie di strumenti informatici utilizzati per le ICT Risk Analysis 46 Figura 2.31 Il quadro sinottico delle variabili di configurazione dell ICT Risk Analysis 46 Figura 2.32 La frequenza di cambiamento della metodologia utilizzata per le ICT Risk 47 Figura 2.33 Analysis L utilizzo di semilavorati comuni per le diverse metodologie di ICT Risk 48 Figura 3.1 Analysis Le differenze tra approccio tradizionale ed ERM 50 Figura 3.2 Il rischio ICT all interno del rischio operativo in base al modello di Basilea 2 51 Figura 3.3 Il livello di interazione tra l ICT Security e l Enterprise Risk Management 52 Figura 3.4 nella definizione del modello di valutazione del rischio ICT Il livello di coinvolgimento dell ERM nella definizione delle metodologie di 53 Figura 3.5 Risk Analysis utilizzate dall ICT Security La tipologia di informazioni fornite dall ICT Security all ERM per la 53 Figura 3.6 valutazione dei rischi complessivi d impresa La visibilità dell ICT Security sul processo di valutazione dei rischi 54 Figura 3.7 aziendali complessivi effettuato dall ERM L influenza delle valutazioni dei rischi ICT a livello di ERM nella scelta 54 Figura 3.8 delle priorità di intervento per la mitigazione dei rischi ICT La percezione dei CISO sull importanza che viene attribuita dal Top 55 Figura 3.9 Management ai rischi ICT all interno del quadro generale dei rischi aziendali Il punto di vista sul livello di overlapping tra ERM e Basilea

6 Indice Box pagina Box 1.1 Credem 22 Box 1.2 Intesa Sanpaolo 22 Box 2.1 Credi Suisse 38 Box 2.2 Deutsche Bank 39 Box 3.1 Le specificità dell Enterprise Risk Management nel settore bancario: Basilea 2 50 Box 3.2 UniCredit Group 57 5

7

8 Introduzione Giunto al suo secondo anno di vita, l Osservatorio Information Security Management, istituito e portato avanti congiuntamente dalla School of Management e dall ICT Institute del Politecnico di Milano, si presenta quest anno ancor più ricco di contenuti. In affiancamento all analisi di oltre 15 casi del settore bancario, da sempre attento alla tematica dell Information Security, la ricerca di quest anno ha previsto due Survey, coinvolgendo più di un centinaio tra Chief Information Officer, Chief Information Security Officer e Risk Manager. Gli obiettivi dell Osservatorio, in linea con la missione di tutti gli Osservatori ICT & Management di diffondere cultura e best practice sull uso strategico dell ICT, sono di: analizzare e comprendere criticamente lo stato dell arte dell information security, con particolare riferimento ai trend e alle best practice emergenti in termini organizzativo-gestionali e ai fabbisogni, espressi e inespressi, delle imprese; costituire il punto di riferimento per la community di attori (studiosi, consulenti, imprese) interessati a promuovere lo sviluppo strategico dell information security nelle imprese. Tra i principali risultati di quest anno c è sicuramente l aver analizzato a fondo l ICT Risk Analysis, definendo un framework di riferimento che possa essere di supporto al management per una pianificazione efficace degli interventi in ambito ICT Security, nonché l aver approfondito la complessa relazione tra ICT Security ed Enterprise Risk Management, mettendo in luce le soluzioni organizzative emergenti ed evidenziandone opportunità e rischi. Sempre più, infatti, l ICT Security va oggi pensata e gestita come un elemento trasversale dell organizzazione e una leva strategica che può avere un impatto rilevante sulle strategie dell impresa. Umberto Bertelè Andrea Rangone 7

9

10 Executive Summary Gli obiettivi della Ricerca Nel corso del primo anno di attività l Osservatorio Information Security Management aveva affrontato il tema della governance strategica dell ICT Security, ovvero l insieme di soluzioni organizzative e processi atti a garantire: una strategia di ICT Security ben definita e collegata agli obiettivi di business, nonché a quelli dell ICT; una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; sistemi di pianificazione adeguati; metodologie di Risk Analysis/ Management appropriate; policy di alto livello ben strutturate, che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l ICT Security; processi di monitoraggio e controllo che assicurino feedback tempestivi sullo stato di implementazione dei programmi e sulla loro efficacia, in modo da consentire di attuare le opportune manovre correttive in itinere, qualora necessario; sistemi di apprendimento (knowledge management) che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure e, quindi, una costante riduzione del livello di rischio complessivo, nell ottica del continuous improvement. Riclassificando e riaggregando gli elementi sopra elencati, è possibile individuare tre macro-categorie fondamentali di leve progettuali dell ICT Security governance, e precisamente: l organizzazione, intesa nell accezione di configurazione macro-organizzativa che consenta di mettere in atto i programmi strategici e di gestire l operatività, nonché modalità di definizione e aggiornamento delle politiche, modalità di gestione dei progetti, definizione del processo di miglioramento continuo; i processi di pianificazione e controllo; le risorse, le competenze e la cultura organizzativa. In continuità con il focus della Ricerca 2008, quest anno le attività sono state articolate in due fasi distinte. In particolare, è stata svolta una prima indagine con l obiettivo di monitorare il grado di maturità dei sistemi di governance strategica nelle imprese italiane e di evidenziare eventuali significative evoluzioni rispetto a quanto emerso dalla Ricerca dello scorso anno. La seconda parte della Ricerca si è invece focalizzata sul tema dell ICT Risk Analysis, che dall analisi svolta lo scorso anno era risultata uno delle principali punti critici della governance strategica dell ICT Security. In particolare, si è inteso analizzare: l ICT Risk Analysis: il focus è stato quel- lo di verificare la numerosità di Risk Analysis svolte dalle imprese nell ambito dell ICT Security, di elaborare una tassonomia dei diversi approcci sulla base di un insieme di variabili descrittive, nonché di mettere in relazione l utilizzo e la diffusione di tali approcci a variabili di contesto; il rapporto tra ICT Security ed Enterprise Risk Management (ERM): in particolare, l analisi ha riguardato il livello di interazione e di coordinamento tra l unità ICT Security e l unità che si occupa della gestione del rischio a livello integrato d impresa. In particolare, si è cercato di capire: quali siano le informazioni che l ERM richiede all ICT Security ai fini della valutazione dell esposizione complessiva al rischio dell impresa; quale sia il livello di visibilità che l ICT Security ha su tale pro- 9

11 Executive Summary cesso di valutazione integrata dei rischi (con riferimento sia alle metodologie sia ai risultati); se i risultati delle analisi svolte dall ERM costituiscano o meno un input in sede di pianificazione delle iniziative di ICT Security. Vista la complessità e le peculiarità settoriali che caratterizzano queste tematiche, si è scelto di focalizzare le attività di ricerca sul settore bancario, al fine di consentire un analisi sufficientemente approfondita e completa. La governance strategica dell ICT Security: lo stato dell arte Questa fase della Ricerca è stata finalizzata a fare il punto con i Chief Information Officer (CIO) sullo stadio di maturità della governance strategica dell ICT Security. I risultati di questa indagine mettono in luce una realtà caratterizzata da un certo livello di eterogeneità e in continua evoluzione. In particolare, per quanto concerne il posizionamento dell unità di ICT Security all interno dell organigramma aziendale, nella maggioranza delle imprese rispondenti il responsabile di tale unità è un primo riporto del CIO (una percentuale sicuramente importante, e in crescita rispetto al passato). Nel contempo, in ben il 19% dei casi tale figura non è nemmeno presente nell organigramma (né, in molti casi, è previsto il suo inserimento a breve). Altrettanto variegata appare la situazione per ciò che concerne la dimensione dell unità di ICT Security all interno della Direzione ICT: se la maggioranza dei rispondenti dichiara che l organico è composto da una persona, vi è anche un 14% di imprese in cui la dimensione supera le 10 unità. Va sottolineato altresì che la maggioranza delle imprese (precisamente il 53%) ha modificato nell ultimo anno l assetto organizzativo dell ICT Security o ritiene di farlo nel prossimo futuro, a riprova del fatto che si è ben lontani dall aver raggiunto una situazione di equilibrio. Questo dato conferma i risultati emersi nel corso del primo anno di Ricerca sull evoluzione dei modelli organizzativi dell ICT Security. Per quanto concerne gli aspetti legati ai processi di pianificazione e controllo, si conferma la crescente pervasività dell ICT Security, tant è che gli input per l individuazione delle iniziative sono di natura molto diversa e provengono da numerose unità organizzative (ICT, ovviamente, ma anche Corporate Security, Internal Audit, Organizzazione, Risorse Umane, Business Unit, ecc.). A questa estrema varietà delle fonti di input non corrisponde sempre un processo di pianificazione sufficientemente strutturato: solo poco più di un terzo delle imprese infatti redige sistematicamente un piano strategico completo, che include tutte le attività riconducibili alla sicurezza informatica. Un altro terzo delle imprese dichiara di farlo solamente per i progetti più rilevanti, mentre il 3 dei CIO non elabora alcun documento di pianificazione di questo tipo. Da questo punto di vista non sembra che le imprese abbiano fatto molti passi avanti rispetto al recente passato: questo rimane a nostro avviso un elemento di criticità piuttosto rilevante. Nella definizione delle priorità di intervento le imprese dichiarano di fare ricorso largamente alla Risk Analysis, anche se non sempre in modo sistematico, e non sempre (o non esclusivamente) nell ambito della fase di pianificazione annuale. Meno eclatante appare il quadro con riferimento alla diffusione dei sistemi di misurazione delle prestazioni di tipo direzionale nell ambito dell ICT Security: solo un quarto delle imprese rispondenti ha dichiarato di avere sviluppato e di utilizzare questo tipo di strumentazione, mentre un altro 2 circa afferma che, pur non avendo un sistema dedicato all ICT Security, alcuni KPI relativi a quest area sono inseriti in sistemi di più alto livello (per esempio, sistemi di performance management a livello di ICT) Infine, i dati relativi al budget allocato all ICT Security confermano che, nonostante questo momento di crisi economica, nella maggioranza dei casi non è prevista una contrazione delle risorse dedicate a quest area (risorse che si attestano nella maggioranza dei casi tra l 1 e il 5% del budget totale dell ICT). Questo può essere un segnale della crescente importanza attribuita a quest area, anche se va detto che in molti casi buona parte del budget è legato a iniziative di compliance a nuove normative, quindi, di fatto, non discrezionale. 10

12 Executive Summary Gli approcci alla Risk Analysis nell ambito dell ICT Security Vista l estrema varietà ed eterogeneità delle attività di ICT Risk Analysis condotte dalle aziende, è stato necessario innanzitutto definire un framework che supportasse la classificazione delle diverse tipologie di analisi e metodologie utilizzate. Tale framework intende anche essere di supporto ai manager (Chief Information Security Officer (CISO) in primis) sia per finalità di benchmarking sia nella fase di definizione degli approcci da adottare nei diversi ambiti di applicazione. Il framework ha identificato tre macro categorie di ICT Risk Analysis ricorrenti, riconducibili alle attività di Progettazione nuove iniziative, Disaster recovery e Adempimenti normativi, sulla base del confronto tra letteratura e risultati delle interviste con i CISO. Tale macro classificazione, però, non è sufficiente per identificare l attività svolta, in quanto anche all interno della stessa macrocategoria possiamo trovare approcci molto diversificati. Per tale motivo, il framework proposto prende in considerazione sia alcuni fattori che caratterizzano l orizzonte di riferimento di una specifica ICT Risk Analysis, sia le variabili di configurazione che definiscono la specifica metodologia utilizzata. In particolare, dalle interviste effettuate i principali fattori caratterizzanti l orizzonte di un ICT Risk Analysis risultano essere le Finalità, l Ambito e i Requisiti considerati. Per quanto invece concerne le variabili di configurazione della metodologia, fattori chiave risultano essere gli Input types, il Flusso logico, gli Attori, gli Input sources e gli Strumenti utilizzati. Sulla base del framework definito si è proceduto ad analizzare in un primo momento il settore Banking, storicamente il più sensibile al tema della sicurezza, e successivamente altri settori di interesse, quali: Assicurativo, Automotive, Chimico e Farmaceutico, ICT e Telecomunicazioni, Utility. Con riferimento al Banking, dalla Ricerca svolta emerge una copertura pressoché totale delle tre macro categorie di analisi individuate, che vengono condotte da almeno due terzi dei casi analizzati, con un picco del 9 per la categoria Adempimenti normativi. Per quanto concerne i fattori caratterizzanti l orizzonte dell ICT Risk Analysis, si evidenzia come vi sia notevole eterogeneità anche all interno della stessa macrocategoria. Ad esempio, per quanto concerne le finalità delle analisi, nel caso dell analisi ai fini del Disaster recovery il panel si è distribuito in maniera omogenea tra le Stime di perdita e l Identificazione di contromisure. L indagine ha anche mostrato come non è sempre scontato che i requisiti di Confidenzialità, Integrità e Disponibilità siano tutti parte dell analisi, ma che invece in talune occasioni vengano effettuate analisi molto mirate su uno o un paio di requisiti, tralasciando gli altri. Per quanto concerne le variabili di configurazione dell ICT Risk Analysis si può notare come molte di esse risultino essere trasversali alle tre macro categorie identificate: per esempio, per quanto riguarda l orizzonte temporale di analisi ( gli scenari ), tutte le analisi tendono a focalizzarsi sull AS IS (ovvero lo stato in essere al momento in cui viene svolta l analisi), più che analizzare serie storiche o effettuare previsioni su scenari futuri. Similmente, si registra un utilizzo molto diffuso di strumenti di sviluppati ad hoc e basati sulla suite office a supporto dell implementazione dell analisi, mentre risultano poco utilizzate le soluzioni commerciali. A questo proposito, le indicazioni emerse dalle interviste fanno trasparire un elevata attenzione a contenere la complessità delle attività di ICT Risk Analysis. Ulteriori informazioni analizzate sono la frequenza di cambiamento della metodologia utilizzata, dove emerge una sostanziale stabilità, e la possibilità di riutilizzo di semilavorati comuni per le diverse tipologie di ICT Risk Analysis, opportunità che appare sfruttata piuttosto sporadicamente, probabilmente per le indubbie difficoltà connesse. Per quanto riguarda gli altri settori analizzati (Automotive, Assicurativo, Chimico e Farmaceutico, ICT e Telecomunicazioni, Utility), un primo dato interessante è che, contrariamente a quanto avviene nel Banking, la Risk Analysis non è diffusa in tutte le tre macro categorie identificate. In particolare in tutti i settori appare molto ricorrente l analisi effettuata per Adempimenti normativi. Nei settori Chimico e Farmaceutico e Utility, in- 11

13 Executive Summary vece, non appare diffuso l utilizzo della Risk Analysis per Progettazione nuove iniziative. Per quanto riguarda i fattori caratterizzanti l orizzonte dell ICT Risk Analysis, non si evidenzia, rispetto al settore Banking, uno scostamento così ampio come forse ci si poteva aspettare a priori. Per quanto concerne le variabili di configurazione dell ICT Risk Analysis, invece, vi sono alcune significative differenze, con riferimento in particolare al flusso logico dell analisi (trasversalmente sulle tre macro categorie di Risk Analysis), nonché a diversi elementi metodologici delle analisi finalizzate alla Progettazione nuove iniziative. Si riscontra inoltre un elevata frammentazione degli approcci. Sicuramente il quadro che ne emerge conferma l interesse e l importanza dell ICT Risk Analysis e testimonia come probabilmente sia ancora necessaria una certa maturazione, legata all acquisizione di maggiore esperienza in questo ambito, prima di poter giungere all identificazione di una terminologia univoca e di approcci comuni (almeno a livello di industry). Il rapporto tra ICT Security ed Enterprise Risk Management I risultati della Ricerca evidenziano che l interazione tra ICT Security ed Enterprise Risk Management nella maggioranza delle banche analizzate è ancora piuttosto limitata: oltre il 5 dei CISO rispondenti ha infatti affermato che i momenti di dialogo e di collaborazione sono di natura occasionale, e comunque non sistematici. Scendendo più nel dettaglio, l ERM appare relativamente poco coinvolta nella scelta delle metodologie utilizzate dall ICT Security per le analisi dei rischi finalizzate alla definizione delle priorità di intervento: solo in un quarto dei casi partecipa attivamente alla definizione delle metodologie, mentre nella maggioranza dei casi ha un ruolo puramente consultivo. Di converso, l ICT Security non sembra avere un ruolo particolarmente rilevante nel processo di valutazione del livello di esposizione complessiva al rischio effettuata dall ERM. In molti casi si limita a fornire dei dati grezzi, che poi l ERM elabora al suo interno, e spesso l ICT Security non ha visibilità né sulle logiche e le metodologie utilizzate per l elaborazione dei dati, né sui risultati. Inoltre, solo in poco più della metà dei casi i risultati delle analisi svolte dall ERM hanno un impatto sulle definizioni delle priorità di intervento in ambito ICT Security, mentre un terzo dei rispondenti ha dichiarato che non vi è alcun feedback di questo tipo. In conclusione, fatta eccezione per alcuni casi di eccellenza, si ha l impressione che vi sia un certo scollamento tra questi due mondi. A nostro avviso, è però opportuno che l ICT Security eviti il rischio di isolamento e cerchi il più possibile un dialogo proficuo con l ERM, in quanto solo in questo modo si può essere sicuri che venga data la giusta importanza al rischio ICT e che questo venga valutato con metodologie appropriate. Questo non può che aumentare la visibilità delle attività di ICT Security, accrescerne la rilevanza strategica agli occhi del Top Management, con un probabile effetto positivo anche sulle risorse allocate a queste attività. Paolo Maccarrone Luca Marzegalli 12

14 1. La rilevanza dell ICT Security L informazione rappresenta certamente una risorsa di fondamentale importanza per le imprese: basti pensare alle organizzazioni in cui i dati rappresentano il vero e proprio core business (è il caso del settore bancario, finanziario, assicurativo, oltre ovviamente alle telecom companies e alle aziende produttrici di software). Ma, anche laddove l output dell impresa non sia in tutto o in parte digitalizzato, le informazioni rappresentano comunque una risorsa critica per il corretto ed efficiente svolgimento dei processi aziendali. È quindi facile evincere come la distruzione, la compromissione o l accesso non autorizzato al patrimonio informativo aziendale possa causare ingenti danni al business, fino a comprometterne la sopravvivenza stessa. L ICT Security, generalmente considerata come una parte dell Information Security, vede il proprio focus sulla protezione di tutte le informazioni gestite dai Sistemi Informativi e trasmesse attraverso le reti aziendali. Questa definizione include: la protezione degli asset fisici in cui le informazioni vengono custodite (sale server, storage center, ecc.); la protezione delle reti aziendali e delle informazioni che viaggiano su reti pubbliche o di terze parti; la protezione dall accesso non autorizzato a sistemi informativi e alle diverse applicazioni; la protezione dei dati aziendali sensibili/personali o regolati da normative specifiche; la sicurezza applicativa (protezione da errori volontari o involontari all interno delle applicazioni); la protezione da errori involontari o volontari (comportamento non etico) dei dipendenti. Già da questo breve elenco si nota il legame tra sicurezza informatica e gli altri domini della sicurezza (sicurezza fisica, sicurezza logica, sicurezza organizzativa, privacy, ecc.), a testimonianza della pervasività e trasversalità di tale concetto. Non molti anni fa la gestione dell ICT Security era vista principalmente come un attività molto specifica, di carattere esclusivamente tecnologico, e pertanto era spesso confinata in qualche unità all interno della Direzione ICT. In pochi anni, però, la situazione è radicalmente cambiata a seguito della spinta di diversi driver: la crescente consapevolezza circa l impossibilità, da parte delle sole soluzioni tecnologiche, di garantire l efficacia dei sistemi preposti alla sicurezza informatica, qualora non integrate da opportune misure di tipo organizzativo; la progressiva digitalizzazione dei processi, che, unitamente all utilizzo sempre più diffuso di Internet nell ambito delle attività di business e alla crescente mobilità dei dipendenti, ha reso l Information Security sempre più pervasiva e ha notevolmente aumentato i fattori di rischio cui sono soggette le imprese; la continua escalation degli attacchi, dovuta al progressivo innalzamento del livello di abilità di chi, per i motivi e con le tecniche più svariate, intende attentare al patrimonio informativo delle aziende. Per questo motivo le imprese e i fornitori di soluzioni sono costretti a un continuo inseguimento ; lo sviluppo delle teorie di management legate alla gestione integrata del rischio d impresa (note con il termine Enterprise Risk Management, ERM), nonché il peso crescente delle normative e degli standard, che ha portato in taluni casi all introduzione 13

15 Capitolo 1 La rilevanza dell ICT Security di vere e proprie unità organizzative dedicate alla compliance, comportano delle potenziali aree di sovrapposizione e/o di integrazione con la sicurezza, in primis l Information/ICT Security, e che, se non ben gestite, possono portare a conflitti e a inefficienze organizzative; la diffusione dell idea che la sicurezza possa essere vista come una leva strategica di business, ovvero come un fattore di differenziazione per incrementare il livello di competitività. Di conseguenza, l interesse da parte delle unità di corporate/business strategy e del management a capo delle diverse aree di business è cresciuto notevolmente. Da queste considerazioni emerge chiaramente la rilevanza strategica dell ICT Security, che pertanto è necessario dotare di strumenti e risorse tali da consentirle di dialogare con il resto dell organizzazione ai livelli che le competono e con il linguaggio corretto. In sintesi, si tratta di inquadrare l ICT Security nell ambito della governance complessiva dell impresa, attribuendole la giusta importanza e garantendo il corretto livello di integrazione con le altre aree. La governance strategica dell ICT Security Nella Ricerca si è preferito usare il termine governance strategica dell ICT Security per accentuare la distinzione dalla governance operativa, che si occupa sostanzialmente delle soluzioni organizzative necessarie per il corretto funzionamento nell operatività quotidiana. La governance strategica dell ICT Security dovrebbe prevedere: una strategia di ICT Security ben definita e collegata agli obiettivi di business, nonché a quelli dell ICT; una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; sistemi di pianificazione adeguati; metodologie di Risk Analysis/Management appropriate; policy di alto livello ben strutturate, che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l ICT Security; processi di monitoraggio e controllo che assicurino feed-back tempestivi sullo stato di implementazione dei programmi e sulla loro efficacia, in modo da consentire di attuare le opportune manovre correttive in itinere, qualora necessario; sistemi di apprendimento (knowledge management) che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure e, quindi, una costante riduzione del livello di rischio complessivo, nell ottica del continuous improvement. Come si è visto nel paragrafo precedente, la governance strategica dell ICT Security non può essere vista disgiuntamente dalla governance complessiva dell impresa. Possono essere individuate tre dimensioni fondamentali dell ICT Security governance, e precisamente (Figura 1.1): l organizzazione, intesa nell accezione di configurazione macro-organizzativa che consenta di mettere in atto i programmi strategici e di gestire l operatività, nonché le modalità di definizione e aggiornamento delle politiche, le modalità di gestione dei progetti, la definizione del processo di miglioramento continuo; i processi di pianificazione e controllo; le risorse, le competenze e la cultura, che agisce sugli input e, in particolare, sulle risorse umane, sulle loro competenze, sul loro sistema di valori, nonché sulla cultura organizzativa in generale. Nel corso del primo anno di attività dell Osservatorio, l attenzione si era focalizzata sulle prime due dimensioni, di cui, di seguito, verranno brevemente illustrati più in dettaglio gli elementi costituenti. 14

16 La rilevanza dell ICT Security Capitolo 1 Corporate Governance ICT Governance Figura 1.1 L ICT Security governance ICT Security Governance Organizzazione Processi di pianificazione e controllo Risorse, Competenze e Cultura Gli aspetti organizzativi Gli elementi descrittivi fondamentali che hanno avuto un approfondimento specifico sono i seguenti: la presenza di una o più unità organizzative dedicate all ICT Security, la dimensione in termini di full time equivalent allocati e la posizione all interno della macrostruttura organizzativa. A questo proposito, va sottolineato che non sempre esiste una struttura dedicata all ICT Security. In questo caso, è opportuno capire chi è e a chi risponde il responsabile dell ICT Security in azienda, e a quali unità/sottounità sono demandate le diverse attività; nel caso di più unità organizzative, la distribuzione delle responsabilità sulle diverse macro-aree di attività riconducibili all ICT Security tra le diverse unità. Nella scelta della configurazione è necessario fare attenzione ad alcuni principi fondamentali, primo fra tutti quello noto come segregation of duties. E chiaro, tuttavia, che tale scelta può essere influenzata da diversi fattori (dimensione, settore di attività, ecc.); la strutturazione interna della/e unità organizzative dedicate all ICT Security. La Ricerca ha preso in esame anche i percorsi evolutivi di tali configurazioni organizzative (come in tutte le aree, anche in quest ambito i modelli organizzativi adottati dalle aziende sono spesso soggetti a cambiamenti) e analizzato la presenza di trend, sia in termini di percorsi convergenti verso alcune configurazioni organizzative emergenti, sia in termini di dimensionamento delle unità organizzative. La pianificazione strategica Per assicurare l allineamento tra gli obiettivi strategici di business e quelli dell ICT Security è fondamentale pensare congiuntamente il processo di pianificazione e controllo dell ICT Security e quello complessivo dell impresa. Gli input che portano alla definizione del piano strategico possono provenire dall interno o dall esterno dell azienda. Tra i principali ricordiamo: la compliance alle normative (in particolare, in Italia abbiamo: la legge sulla privacy n. 196/2003; il Dlgs n. 231/2001 sulla responsabilità amministrativa delle persone giuridiche; la legge n. 262 del 2005 sulla tutela del risparmio e la disciplina dei mercati finanziari; legislazione a tutela del copyright in relazione alle licenze dei programmi software fino a qualunque contenuto digitale protetto); i risultati degli audit interni, realizzati da ICT, Corporate Security, ICT Security, Internal Audit, ed esterni, realizzati da società di revisione, organismi di controllo, enti di certificazione, ecc.; le nuove soluzioni proposte dai player del mercato; le sollecitazioni da parte delle Business Unit per l introduzione di nuove soluzioni di sicurezza; 15

17 Capitolo 1 La rilevanza dell ICT Security lo scouting e la ricerca di soluzioni innovative interne effettuati dall unità ICT Security. Proprio per questo motivo le unità organizzative coinvolte nell identificazione delle iniziative di ICT Security dovrebbero essere numerose. Oltre all unità di ICT Security, infatti, potrebbero essere chiamate a fornire il loro contributo anche: ICT (o gli altri dipartimenti dell ICT, diversi dall ICT Security, qualora quest ultima sia posizionata all interno della Direzione ICT); Corporate Security; Internal Audit; Organizzazione e Risorse Umane; Line of Business; Enterprise Risk Management (se esistente); Compliance (se esistente); Legal. Per garantire il pieno successo delle iniziative pianificate è opportuno ricorrere ad approcci strutturati di Risk Analysis/Risk Management, come vedremo nel dettaglio nel Capitolo 2. A valle del piano strategico si definisce il budget corrispondente, distinto tra progetti di investimento e spese correnti. Spesso però la quantificazione delle necessità finanziarie dell ICT Security non è di facile individuazione, a causa della definizione degli ambiti di responsabilità o delle caratteristiche legate al business o alle scelte gestionali. Successivamente è fondamentale ricorrere a sistemi di misura delle prestazioni, per garantire l attuazione della strategia d impresa. Proprio per questo è interessante analizzare se ci siano all interno delle imprese sistemi di misurazione delle prestazioni specifici per l ICT Security, o se siano comunque presenti Key Performance Indicator (KPI) legati all ICT Security all interno di sistemi più ampi. Un altro fattore fondamentale che è stato indagato sono i fattori critici di successo riguardanti i progetti legati all ICT Security. Tra questi troviamo: il commitment del Top Management, che rappresenta un elemento fondamentale, se non decisivo, per il successo delle iniziative; il coinvolgimento da parte delle unità interessate nell identificazione dei bisogni e nella pianificazione della soluzione; il coinvolgimento degli utenti fin dalla fase di design della soluzione; la scelta del prodotto; la scelta del fornitore di servizi. Il punto di vista dei Chief Information Officer Per l edizione 2009, si è deciso di dedicare una prima parte della Ricerca ad approfondire e/o aggiornare alcuni dei risultati emersi dalla Ricerca dell anno precedente. I dati raccolti e di seguito illustrati sono rappresentativi del contributo di 105 Chief Information Officer (CIO) dei diversi settori dell economia e toccano tematiche organizzative, progettuali e di processo. Gli aspetti organizzativi La prima domanda rivolta ai CIO riguardava la presenza o meno di un responsabile ICT Security all interno della Direzione ICT. Dalle risposte emerge che nel 72% delle imprese è presente un responsabile dedicato all ICT Security e questi è collocato all interno della Direzione ICT. In particolare, nel 51% dei casi il responsabile riporta direttamente al CIO (a testimonianza dell importanza strategica attribuita alla sicurezza informatica), mentre nel 21% dei casi si tratta di un secondo riporto. Il 9% dei CIO, invece, dichiara l esistenza di un responsabile dedicato collocato al di fuori della Direzione ICT. 16

18 La rilevanza dell ICT Security Capitolo 1 Ne consegue che nel 19% delle imprese rispondenti tale responsabile non è al momento presente: in particolare, va sottolineato che il 7% delle aziende pensa di introdurre a breve tale figura, mentre nel 12% dei casi questa innovazione organizzativa non è ancora prevista (Figura 1.2). Figura 1.2 risposta E 12% risposta D 7% risposta C 9% 51% risposta A A. Esiste un responsabile specifico all interno della Direzione ICT e riporta al CIO B. Esiste un responsabile specifico all interno della Direzione ICT ma non riporta al CIO C. Esiste un responsabile specifico all interno di un altra unità organizzativa D. No ma sarà introdotto a breve La presenza e il posizionamento del responsabile dell ICT Security all interno dell organigramma aziendale E. No risposta B 21% Il dato successivo riguarda il dimensionamento dell unità di ICT Security, laddove esistente. Dalle risposte si evince che complessivamente nel 61% dei casi vi è una sola persona, perlomeno all interno dell ICT, che si occupa di ICT Security (Figura 1.3). Nel 22% le risorse dedicate crescono e si collocano nell intervallo da 2 a 5. Da sottolineare, all estremo opposto, che il 14% dei CIO ha dichiarato che la struttura di ICT Security supera le 10 unità. A questo riguardo, vanno fatte due considerazioni: esiste una correlazione positiva tra dimensione dell unità ICT e dimensione dell impresa. Tuttavia, tale correlazione è vera solamente nei settori ICT e Telecomunicazioni, Banking e Utility, mentre non sembra essere altrettanto evidente in altre industry; il dato sul dimensionamento dell unità ICT Security in alcuni casi è di non facile lettura, in quanto influenzato fortemente dalle politiche di insourcing/outsourcing dell impresa. Figura 1.3 risposta E 14% A. 1-2 persona/e half-time B. 1 persona full-time C. Da 2 a 5 persone Il dimensionamento dell unità ICT Security risposta D 3% 49% risposta A D. Da 6 a 10 persone E. Più di 10 persone risposta C 22% risposta B 12% L ultima domanda relativa a questa sezione era tesa a verificare la stabilità della configurazione organizzativa, coerentemente con l obiettivo di monitorare il grado di maturità raggiunto, nonché l esistenza di eventuali trend, come indicato precedentemente. In questo senso, i risultati evidenziano un altro dato importante: oltre la metà dei rispondenti ha dichiarato di aver apportato o di voler apportare nel breve termine cambiamenti all organizzazione delle attività di ICT Security: in particolare, il 3 dei modelli organizzativi dell ICT Security delle imprese rispondenti ha subito modifiche nell ultimo anno e il 23% sarà passibile di cambiamenti nel corso dei prossimi 12 mesi (Figura 1.4). 17

19 Capitolo 1 La rilevanza dell ICT Security Figura 1.4 La stabilità del modello organizzativo inerente l ICT Security risposta C 3 47% risposta A A. È stabile e al momento non sono previste modifiche B. Sarà oggetto di modifiche nel corso del prossimo anno C. È stato modificato nell ultimo anno risposta B 23% La pianificazione strategica Nella seconda sezione della Survey rivolta ai CIO ci si è focalizzati sui seguenti aspetti legati alla strutturazione dei processi di pianificazione e controllo delle attività di ICT Security: le principali fonti di input per la pianificazione delle attività di ICT Security; il grado di coinvolgimento delle altre unità organizzative nella fase di definizione del piano di ICT Security; la presenza e il livello di comprensività del piano strategico di ICT Security, che dovrebbe includere gli obiettivi, i piani d azione e i progetti ad essi connessi in un orizzonte temporale pluriennale; l intensità del ricorso ad attività di Risk Analysis per l individuazione delle priorità d intervento e quindi per la costruzione del piano strategico; il budget allocato all ICT Security e il relativo trend; l esistenza di sistemi di monitoraggio delle prestazioni di tipo direzionale o strategico, volti a misurare l efficacia dell Information Security Management System e a evidenziare eventuali aree di criticità e di miglioramento; i fattori critici di successo dei progetti di ICT Security. Con riferimento al primo punto, dalla Figura 1.5 si evince come la compliance alla normativa (4) e i risultati degli audit interni o esterni (32%) siano le due maggiori determinanti delle iniziative. Complessivamente, quindi, il 72% degli input deriva dalla necessità di adeguamento a nuove leggi e/o da non conformità a standard, policy e/o normative già vigenti. Non va comunque trascurato il 12% di imprese che dichiarano di ricevere input anche dalle aree di business, a riprova di un crescente coinvolgimento di queste ultime nelle attività legate alla sicurezza ICT. L 11% raggiunto dallo scouting e dalla ricerca di soluzioni innovative da parte degli specialisti di ICT Security interni conferma che l innovazione tecnologica esercita un ruolo importante, ma probabilmente non fondamentale. Rilevanza ancora minore viene, infine, attribuita ai provider di prodotti e servizi ICT, che i CIO hanno dichiarato incidere solo per il 5%. Figura 1.5 Gli input per l individuazione delle iniziative di sicurezza ICT risposta E 11% risposta D 5% risposta C 12% 4 risposta A A. La compliance alle normative (privacy, 231, 262, ecc.) B. Gli audit interni/esterni C. Le ricerche dirette delle Business Unit D. Sollecitazioni da parte dei fornitori di prodotti/servizi E. Scouting e ricerca di soluzioni innovative interne risposta B 32% 18

20 La rilevanza dell ICT Security Capitolo 1 Si è quindi chiesto quali siano le funzioni/unità organizzative più attive nell individuazione delle iniziative di ICT Security (Figura 1.6). Il ruolo principale spetta all ICT con il 36%, seguita dall Internal Audit con il 24%, e dalla Corporate Security che si attesta al 18%. Meno influenti sono la Direzione Organizzazione all 8%, le Line of Business al 7% e la Direzione Risorse Umane al 7%. risposta F 7% risposta E 7% risposta D 8% 36% risposta A A. ICT B. Corporate Security (o Direzione equivalente) C. Internal Audit D. Organizzazione E. Risorse Umane F. Line of Business Figura 1.6 Le unità organizzative maggiormente coinvolte nell individuazione delle iniziative di ICT Security risposta C 24% 18% risposta B Incrociando le risposte a questa domanda con quelle ottenute al punto precedente è possibile concludere che, qualsiasi sia la fonte originaria del problema di sicurezza ICT, nell individuazione delle contromisure il ruolo principale è esercitato dalla Direzione ICT (il che è piuttosto plausibile, visto che alcuni degli audit sono di natura tecnologica si veda per esempio i vulnerability assessment o gli ethical hacking). Tuttavia, emerge il ruolo importante della Corporate Security, spesso in quanto tale unità si occupa proprio degli aspetti di governance della security, e dell internal Audit, coinvolto massicciamente per gli aspetti legati a compliance a normative già in essere o nuove e ai vari standard quali ad esempio ISO17799, ISO27001, SOX, ecc. Il punto successivo riguardava la formalizzazione del processo di pianificazione strategica delle iniziative in ambito ICT Security. Come si può notare in Figura 1.7, le risposte si sono divise piuttosto equamente: il 36% delle imprese rispondenti prevede un processo formale di pianificazione che copre tutti gli aspetti legati all ICT Security. Il 34% attiva invece il processo di pianificazione solo in concomitanza all avvio di grandi progetti o in caso di promulgazione di nuove normative con forte impatto sulla sicurezza ICT; in ultimo, il 3 dei CIO dichiara che non esiste in azienda un Master Plan ICT che riguardi l ICT Security. Figura 1.7 Il ricorso a un processo formale di pianificazione strategica delle iniziative in ambito ICT Security (Master Plan ICT/Information Security) risposta C 3 36% risposta A A. Sì e copre tutti gli aspetti legati all ICT Security B. Sì ma è parziale (solo per grandi progetti/in caso di rilevanti cambiamenti della normativa ecc.) C. No risposta B 34% 19

21 Capitolo 1 La rilevanza dell ICT Security I risultati ottenuti su questo aspetto non sono proprio esaltanti. L assenza di un momento di formalizzazione e condivisione di un piano integrato e omnicomprensivo rappresenta un elemento di debolezza, che rischia di riflettersi anche sull entità del budget, oltre che sul corretto dimensionamento delle unità organizzative e, quindi, sulla successiva gestione efficiente delle attività. In Figura 1.8 sono invece riportate le risposte dei CIO relativamente al ricorso ad approcci di Risk Analysis per l individuazione delle aree di criticità e, quindi, delle iniziative da includere nel piano strategico di ICT Security. Dai dati emerge che l 82% dei CIO ricorre a metodologie di Risk Analysis; tuttavia, solo il 16% le utilizza sistematicamente (in modo strettamente strumentale all elaborazione del piano di security o anche nell ambito di altre analisi periodiche), mentre ben il 66% delle Direzioni ICT si avvicina in modo episodico, o comunque non sistematico. Figura 1.8 Il ricorso ad approcci strutturati di Risk Analysis/Risk Management per la definizione delle iniziative risposta D 18% 16% risposta A A. Sì, sistematicamente nell ambito del processo di definizione dell ICT Security Master Plan B. Sì, periodicamente ma non o non solamente in concomitanza con l elaborazione dell ICT Security Master Plan C. Sì, ma non in modo sistematico D. No 22% risposta B risposta C 44% La domanda successiva era volta ad analizzare l entità del budget dedicato alle attività di ICT Security. Considerato il ruolo ricoperto dai destinatari della Survey, si è deciso di chiedere una quantificazione in termini relativi, in particolare rispetto al totale del budget ICT. E opportuno però sottolineare che: il budget ICT Security gestito dall ICT non è rappresentativo della spesa complessiva in sicurezza informatica, in quanto alcuni progetti che prevedono importanti attività di sicurezza ICT sono in capo ad altre unità organizzative (Corporate Security, Organizzazione, Risorse Umane tra le principali); pur rimanendo all interno dei confini della Direzione ICT, non è sempre facile individuare tutti i costi riconducibili alla sicurezza ICT, in quanto alcuni sono annegati all interno di altri dipartimenti ICT (si pensi, ad esempio, alla determinazione e alla verifica di sicurezza nello sviluppo applicativo). Figura 1.9 La percentuale del budget di ICT Security in relazione al budget complessivo ICT risposta C risposta D 22% 3% 18% risposta A A. Minore di 1% B. Tra 1% e 5% C. Tra 5% e 1 D. Maggiore del 1 57% risposta B 20

22 La rilevanza dell ICT Security Capitolo 1 In ogni caso, nella maggioranza dei casi (il 57%) il valore dichiarato dai CIO rispondenti è compreso nel range tra 1% e 5% del budget ICT complessivo (Figura 1.9). Il 22% dei CIO asserisce che il budget ICT Security si assesta in un valore compreso tra il 5% e il 1, mentre il 3% rivela che la strategicità dell ICT Security porta l azienda a stanziare un budget annuale che supera il 1 del budget complessivo ICT. All estremo opposto, solo il 18% degli intervistati dichiara un budget ICT Security minore dell 1% del budget ICT. Inoltre, il 48% dei CIO dichiara un trend in crescita dello spending in ICT Security, mentre nei restanti casi non si registrano variazioni rilevanti (Figura 1.10). È importante sottolineare, comunque, che solo il 6% delle imprese rispondenti ha dichiarato un trend in calo, a conferma del fatto che, nonostante l attuale momento di significativa recessione economica e le conseguenti difficoltà incontrate da molte imprese, l attenzione sul tema della sicurezza rimane sempre elevato. Figura 1.10 I trend del budget di ICT Security risposta C 6% A. In crescita B. Stazionaria C. In calo 48% risposta A risposta B 46% Per quanto riguarda la formalizzazione dei sistemi di misurazione delle prestazioni specifici per l area ICT Security, i risultati non sono particolarmente entusiasmanti: come riportato in Figura 1.11, infatti, sistemi di misurazione sviluppati ad hoc per l area ICT Security sono infatti presenti solo nel 25% dei casi, mentre per un altro 22% dei casi alcuni KPI relativi all ICT Security sono inclusi in sistemi di misurazione a più ampio spettro, quali quelli della Direzione ICT. Ben il 53% delle aziende, invece, non ha al momento implementato sistemi di rilevazione delle performance in quest ambito. Figura 1.11 La diffusione dei sistemi di misurazione delle prestazioni specifici per l ICT Security risposta C 53% 25% risposta A A. Sì B. No, ma alcuni indicatori sono inclusi nel/i sistema/i di misurazione delle prestazioni di altre unità (ICT Corporate Security ecc.) C. No, non esistono KPI di questo tipo al momento in azienda 22% risposta B L ultimo quesito riguardava i fattori critici di successo (figura 1.12) di progetti legati all ICT Security. Si nota come la sensibilizzazione degli utenti e il commitment del Top Management raggiungano, insieme, il 65%. Un altro fattore critico di successo considerato dal 25% dei CIO è il coinvolgimento delle unità interessate nell identificazione dei bisogni e nella pianificazione delle soluzioni, mentre il restante 1 si divide tra la scelta del prodotto e la scelta del fornitore di servizi. 21